当我创建 CA 角色时,有一个“根 CA”和“从属 CA”选项,选择第二个选项会添加一个生成证书请求的选项。
这是否意味着我可以购买一项服务,例如来自 Comodo 的服务,它将使用他们的 CA 证书签署我的 CA 证书,并允许我为我的域创建自签名证书,所有常见的浏览器(和其他服务/应用程序)都会自动信任该证书?
答案1
TL;DR:可能不会。
长版本:这意味着这在技术上是可行的,但并不一定意味着该服务存在。
从属 CA 的主要理念是针对拥有真实 CA 设置的公司,即他们将其用于公司内部的许多事务。在这种情况下,您可以选择为公司创建一个根 CA 和几个从属 CA,以便您可以使用不同的从属 CA 签署不同类型的证书。
但是,Comodo 或其他任何人是否允许您运行能够创建所有浏览器都信任的证书的下属 CA 则完全是另一回事。对于拥有根 CA 的人来说,这会带来很大的风险 - 如果您在安全性不足的情况下处理自己的 CA,您最终可能会得到大量由您的 CA 签名的虚假证书,并且任何信任 Comodo 的人都会信任这些证书。这将使他们面临风险全部他们的证书在浏览器中被标记为不受信任,这实际上损害了他们的声誉和业务。
虽然我还没有查过,但我认为任何根 CA 机构都会要求他们所信任的公司在安全实践方面进行大量投资。要正确运行该级别的 CA,需要做大量工作,既要考虑技术方面(即保护网络、物理访问服务器等),又要制定例程和程序、职责分离等,以确保 CA 安全。这不是一件可以轻易完成的事情。